Estamos atualmente tentando integrar o provedor de pagamentos Steady – Du machst Medien. Wir den Rest. ao nosso site Discourse. Infelizmente, não consigo fazer o código JavaScript deles passar pela nossa política de segurança de conteúdo. Eu adicionei todos os domínios que encontrei no código à lista de permissões, mas ainda recebo esta mensagem no console do desenvolvedor:
Este é o trecho de código problemático:
https://steadycdn.com/prod/js/1.14.2.js
Alguém sabe como corrigir isso? Obrigado!
Por que você acha que isso é um erro de CSP?
(Se fosse, o código nem sequer seria executado, mas ele é, pois lança um erro).
Tudo funciona como esperado quando desativo a política de segurança de conteúdo, então essa foi a melhor suposição que consegui fazer. 
Obrigado pela dica! Você tem alguma sugestão de como resolver isso?
Acho que o script que você está tentando integrar usa eval(), que é bloqueado por padrão (o motivo é explicado no link acima). Portanto, você precisa adicionar
'unsafe-eval'
à sua configuração de CSP se quiser que isso funcione.